Scribd Logo
Upload

Welcome to Scribd!

  • 07 - Auditoria

    Uploaded by

    Lu Qii Taz Teemperley
    18 views30 pages

    Original Title

    07_-_Auditoria

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    18 views30 pages

    07 - Auditoria

    Uploaded by

    Lu Qii Taz Teemperley

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 30

    SEGURIDAD DE LA INFORMACIN

    Auditoria de la seguridad de la Informacin

    TEMARIO
    1: Conceptos Generales 2: reas que puede cubrir 3: Evaluacin de Riesgos 4: Fases de Auditoria de seguridad 5: Fuentes de la auditoria 6: El perfil del auditor 7: El informe 8: Auditoria externa

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    02

    INTRODUCCIN

    La Auditoria evala si los modelos de seguridad estn en concordancia con los criterios de la entidad, as como con las nuevas arquitecturas, las distintas plataformas, y las posibilidades y riesgos de las comunicaciones Para que resulte til la auditoria, los auditores han de ser competentes e independientes

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    03

    REAS QUE PUEDE CUBRIR

    Controles Directivos Aspectos regulatorios, jurdicos y riesgos Fsicos Control de Acceso y Datos personales Entornos de Produccin/Desarrollo/Outsourcing BCP / DRP

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    04

    CONTROLES DIRECTIVOS

    Los controles Directivos, es decir, los fundamentos de la seguridad: polticas, planes, objetivos de control, funciones, existencia y utilidad de algn comit relacionado, presupuesto as como que existen sistemas y mtodos de evaluacin peridica de riesgos El desarrollo de las polticas, procedimientos, posibles estndares, normas y guas, etc.

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    05

    REGULACIONES, ASPECTOS JURDICOS, AMENAZAS FSICAS

    Verificar que para los grupos anteriores se han considerado el marco jurdico aplicable as como las regulaciones o los requerimientos aplicables a dada entidad (BCRA, AFIP, SSN, ANSES, etc.) Amenazas fsicas externas: protecciones frente a inundaciones, incendios, explosiones, corte de lnea o suministros, terrorismo, huelgas, terremotos etc.

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    06

    CONTROLES DE ACCESO, PROTECCIN DE DATOS PERSONALES

    Los distintos controles de acceso fsicos, lgicos y administrativos Proteccin de datos conforme las regulaciones vigentes, proteccin segn la clasificacin que exista, designacin de responsables propietarios Proteccin de datos conforme las regulaciones vigentes, proteccin segn la clasificacin que exista, designacin de responsables propietarios

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    07

    ENTORNOS DE PRODUCCIN, OUTSOURCING, DESARROLLO Y DRP - BCP

    El entorno de produccin, operacin y administracin de datos Contratos de outsourcing en el cumplimiento de tareas del rea de seguridad o sistemas El desarrollo de aplicaciones en un entorno seguro, verificando que se incorporan controles en los productos desarrollados y que estos resulten auditables. Que no se utilicen datos reales en entornos de desarrollo y prueba Continuidad de las operaciones DRP y BCP

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    08

    EVALUACIN DE RIESGOS

    Identificacin de los Riesgos Amenazas y vulnerabilidades Que se evala? Tipo de Evaluacin de Riesgos

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    09

    IDENTIFICACIN DE RIESGOS

    Al igual que en la seguridad de la informacin, en auditoria se deben identificar los riegos, cuantificar sus probabilidades e impacto y analizar las medidas que los peden mitigar Para evaluar los riesgos es necesario identificar el tipo de informacin almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de entidad, la entidad misma y el momento de la auditoria. Para ello comnmente se utilizan listado o sistemas expertos

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    10

    AMENAZAS Y VULNERABILIDADES

    Revisar si se han considerado las amenazas o evaluarlas si es el objetivo de la auditoria: errores y negligencia en general, desastres naturales, fallos de instalaciones, o bien fraudes o delitos que pueden generar daos a las personas: datos, programas, redes, instalaciones u otros activos Para eso, se evalan las vulnerabilidades que existen, ya que la proteccin se comprometer con mayor probabilidad en los aspectos mas dbiles, primero lugar donde intentarn atacar quienes no estn autorizados

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    11

    QUE SE EVALA?

    Se evala que la seguridad es realmente una preocupacin corporativa, no solo por la existencia de presupuesto para ella, sino por el grado de compromiso por los distintos sectores y personas de la organizacin Se verifica que exista un comit que fije o apruebe los objetivos correspondientes y controle en que medida se alcanzan, que modelo de seguridad se ha implantado, que polticas y procedimientos existen, desarrollo de aplicaciones se realiza en un entorno seguro, si se realiza la separacin de ambientes, si los seguros cubren los riesgos residuales, si esta prevista la recuperacin en caso de incidentes, etc.

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    12

    TIPO DE EVALUACIN DE RIESGOS

    Como vimos, la evaluacin de riesgos puede ser global: todos los sistemas de informacin, ambientes y plataformas, que es habitual cuando se realiza la auditoria por primera vez Comnmente, cuado se termina esta etapa, se comienzan a realizar evaluaciones de riesgos especficos

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    13

    FASES DE LA AUDITORIA

    Determinacin de los objetivos y delimitacin del alcance y profundidad de la auditoria, que incluye el perodo bajo anlisis Anlisis de las posibles fuentes y recopilacin de informacin Determinacin del plan de trabajo y de los recursos y plazos que llevar la auditoria Adaptacin de cuestionarios, de herramientas de control (analizadores de datos, programas de auditoria, etc.) o perfiles especficos de acceso (varios perfiles de una aplicacin, tablas de datos, etc)

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    14

    FASES DE LA AUDITORIA

    Realizacin de entrevistas y pruebas Anlisis de resultados y valoracin de riesgos Elaboracin del informe borrador y posible revisin cruzada interna Presentacin y discusin del informe borrador Informe definitivo, y seguimiento de auditorias anteriores (en caso de corresponder)

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    15

    TCNICAS, MTODOS Y HERRAMIENTAS

    Luego de la definicin de los objetivos, mbito y profundidad, y en funcin a las posibles fuentes y recopilacin de informacin a utilizar y plan de trabajo estipulado, es que se definen las tcnicas, mtodos y herramientas con las cuales se ejecutar la auditoria. (ptos 4 y 5) Como mtodos y tcnicas se pueden considerar los cuestionarios, las entrevistas, la observacin los muestreos, las CAATs (Computer Aided Auditing Techniques) Las auditorias de datos deben efectuarse en lo posible con sistemas de auditoria que impidan la modificacin de la fuente de informacin (datos originales) tales como ACL, IDEA, etc.

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    16

    QUE SE UTILIZA COMO FUENTES DE AUDITORIA


    Polticas, estndares, normas y procedimientos, planes de seguridad Organigrama y descripcin de funciones Contratos, plizas de seguros Documentacin de aplicaciones Descripcin de dispositivos y algoritmos Manuales tcnicos de sistemas operativos o de herramientas Inventarios: de soportes, de aplicaciones, diccionarios de datos, y clasificacin. Declaracin al registro de proteccin de datos Topologa de redes, plano de instalaciones Registros de incidentes, de cambios, de visitas, de acceso lgicos
    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    17

    QUE SE UTILIZA COMO FUENTES DE AUDITORIA

    Entrevistas a los sectores, y a diferentes niveles de responsabilidad Programas, sistemas operativos y software e base en general: versiones, parches, opciones y parmetros La observacin: se considera una fuente de auditoria Actas de reuniones relacionadas Documentacin de planes de continuidad de negocios y planes de contingencia y las pruebas que se realizan sobre los mismos Informes de auditores externos o consultores contratados Entornos de prueba y desarrollo

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    18

    CUAL ES EL PERFIL DEL AUDITOR

    El auditor debe tener formacin en la materia y sobre todo experiencia acorde con la funciones y reas a auditar: seguridad fsica, sistemas operativos, bases de datos, plataformas, lenguajes de programacin, etc. El perfil del auditor debe cumplir con la caracterstica de ser independiente de los auditados, capacidad de anlisis y de sntesis, y no tener intereses meramente econmicos

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    19

    TIPO DE FORMACIONES

    Al momento de definir al auditor interno de sistemas de informacin surgen 3 posibilidades: La seleccin de auditores de otras reas: estos sern expertos en las tcnicas y procesos de auditoria pero en general desconocern las particularidades tcnicas y riesgos de las tecnologas de la informacin La seleccin de expertos tcnicos en sistemas de informacin: estos no sern expertos en las tcnicas y procesos de auditoria, pero conocern mas a fondo los aspectos de sistemas de informacin y los riesgos asociados a estas La seleccin de alguien que provenga de otra organizacin: estos pueden contar con las experiencia de los primeros y de los segundos, e incluso conocer los procesos del rea a auditar, e incluso tienen una ventaja mas, no conocen a las personas que sern auditados

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    20

    DEPENDENCIA FUNCIONAL

    El auditor NO debe depender del rea de sistemas de informacin/Informtica/ tecnologa, ni de ninguna otra rea que pueda ser auditada (reas operativas que emplean sistemas de informacin), a fin de mantener independencia en sus anlisis y opiniones El rea debe formar parte del staff de un directorio general que este por encima de las reas que son objeto de auditoria

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    21

    QUE DEBE CONTENER UN INFORME?

    El informe de auditoria debe dictaminar sobre la adecuacin de las medidas y controles de la entidad, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias Deber incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y recomendaciones propuesta El informe debe incluir un resumen ejecutivo para la Direccin EL INFORME DEBE SER AUTOSUFICIENTE

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    22

    CONTENIDO BSICO

    Objetivo de la auditoria Alcance de la auditoria Metodologa de evaluacin de riesgos y estndares utilizados Antecedentes Hallazgos de la auditoria/observaciones

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    23

    REVISIN DEL INFORME Y SEGUIMIENTO

    El informe necesariamente debe ser revisado por los auditados y discutido si es necesario antes de emitir el informe definitivo La entidad decide que acciones tomar a partir del informe, y en muchos casos los auditores internos hacen seguimiento de las implementaciones y mejoras en los puntos observados

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    24

    REVISIN DEL INFORME Y SEGUIMIENTO

    Se establecen la gravedad de las observaciones y hallazgos de la auditoria con el objetivo de establecer las medidas correctivas segn su importancia y prioridad Las organizaciones que cuentan con un adecuado sistema de control interno, poseen un Comit de Control Interno, cuya composicin contempla al menos un Director sin funciones ejecutivas La mejor practica, luego de la salida del informe final, es establecer entre el comit de auditoria, el rea auditada y los directivos de la entidad, un plan de regularizacin de los puntos observados en la auditoria

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    25

    ANTE QUIEN SE PRESENTA EL INFORME?

    Dependiendo la organizacin, el informe debe ser presentado al Directorio o bien a un Comit de Auditora o de Seguridad

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    26

    ASPECTOS QUE EVALA LA AUDITORIA EXTERNA

    La auditoria externa evala si la organizacin, a travs de su rea de seguridad, auditoria interna u otras reas de control: Ha evaluado de forma adecuada los riesgos Si los informes han llegado a los destinatarios correspondientes Si se estn tomando las medidas pertinentes Si el proceso se realiza con frecuencia necesaria o corresponda a un control aislado

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    27

    SELECCIN DE LA AUDITORIA EXTERNA

    La entidad de auditoria externa debe ser independiente de la entidad auditada: si esta ofreciendo otros servicios a la vez o incluso si hay sido proveedora de auditorias internas, puede interferir en la generacin de un informe veraz, objetivo y completo Los auditores deben ser competentes respecto de los objetivos a ser auditados La auditoria debe ser requerida por la mxima autoridad de la entidad, ya que esta auditar tambin el cumplimiento y funcionamiento de la auditoria interna

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    28

    REFERENCIAS

    Auditoria informtica Un enfoque prctico, por Emilio del Peso Navarro y Mario Piattini Editorial RA-MA La seguridad de los datos de carcter personal, por Emilio del Peso Navarro y Miguel Ramos Gonzales Editorial Diaz de Santos Manual de certificacin CISA (certified Information Systems Auditor)

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    29

    Referencias

    http://www.eccouncil.org http://www.cccure.org http://www.wikipedia.org http://www.amazon.com http://www.mkit.com.ar http://www.matiaskatz.com Mails al profe

    Security Training Auditoria de la seguridad de la Informacin Copyright Mkit Argentina www.mkit.com.ar

    You might also like